膨大なデータが生み出すインテリジェンスネットワーク

ビッグデータによる保護 - ゼロデイ攻撃への対策

ビッグデータ革命とは、大規模なデータに基づいてプロジェクトを展開する手法です。この革命は世界的にも広まりつつあり、ゲームからフィットネス、ドローン配送まで、経済のあらゆる分野に及んでいます。現在では多くの企業が、新製品の開発や既存製品の改良にビッグデータを使用しているのです。

この盛り上がり方は過剰なほどで、すぐにピークを越えて衰退していくようにも見えるかもしれません。しかしシマンテックにとってデータの収集と分析は、何年も前から取り組んでいたものでした。

ビッグデータによる保護 - ゼロデイ攻撃への対策

この25年間で、シマンテックは広範なインテリジェンスネットワークを構築してきました。いまでは世界150カ国に広がる4,000万以上のエンドポイントから、インターネットセキュリティの脅威に関するデータを絶えず収集しています。このデータこそがノートンの保護を強化し、発見された脆弱性に対する即時攻撃、「ゼロデイ・エクスプロイト」の阻止も可能にするのです。

このデータはどこから収集されるのでしょうか。一部は世界各国にいる、何百万ものノートンユーザーからです。こうしたユーザーの多くからは、遭遇した脅威に関する未加工のデータを送信していただきます。

シマンテックのSTARチームの製品管理部門の責任者であるKevinHaleyによれば、「お客様はノートンコミュニティにご参加いただくことができます。自分のコンピューターが遭遇したセキュリティ脅威に関する匿名データを送信することで、より優れたインターネットセキュリティの開発に貢献できるのです。ノートンセキュリティが問題のあるマルウェアを停止させると、ユーザーのコンピューターから、今起こったこと、対象のファイル、発見された時間、発生源に関する情報が当社に送られてきます。これにより当社では、世界中で新たに発生しているセキュリティ脅威の配布状況・普及状況を把握しています」

ハニーポットとデコイ

もちろん、すべてのノートンユーザーにノートンコミュニティへ参加して、脅威に関する匿名データをシマンテックにレポートしていただけるわけではありません。また、ノートンのお客様が新しいセキュリティ脅威に対する最初の遭遇者になる保証もありません。

そのためシマンテックでは、「罠を仕掛ける」方法で、よりプロアクティブに最新の脅威情報を収集するアプローチを採用しています。

たとえば、メールの採集です。「メールはあまり有効な方法ではないものの、いまだにセキュリティ脅威の一般的な伝達経路です」と、Haleyは述べます。だからこそノートンは、これまでに約500万のデコイのメールアカウントを放ち、毎月約80億通のメールを収集しています。これらのダミーアカウントは、最新のフィッシング、なりすまし、ソーシャルエンジニアリング攻撃など、すべてをすくい上げます。その内容から、当社のセキュリティ研究者は、何が発生しているのかを実際に把握するため、必要なデータを入手します。

しかし、メールはパズルの1ピースにすぎません。もっと恐ろしいのは、ハッカーが何らかの方法でユーザーのコンピューターを制御しようとする試みです。ユーザーの自覚や承諾がないままに、ユーザーに関する情報が収集されたり、ユーザーのマシンが不正な目的のために使用されることもあります。

こうした脅威について無防備なコンピューター(ハニーポット)は、そのような攻撃すべてに関する精細なログを、シマンテックのセキュリティチームに送り続けています。製品マーケティング部門のシニアマネージャーであるRobertReynoldsは、次のように語っています。「セキュリティ企業としては、新しく発生する脅威の発見は、早ければ早いほどいいのです。そのために、場合によっては、相手に隙を見せるしか方法がないこともあります」

シマンテックが実行しているのはまさにその「隙を見せる」方法です。「ハニーポット」とも呼ばれる完全に無防備な状態の40,000台のコンピューターによるネットワークを設置し、リスニングポストとして動作させ、世界中に配信されるよう設定しています。

「当社では世界中の入念に選択された場所にハニーポットを埋め込み、データをじかに収集しているので、実際にそこで進行している内容をより的確に把握できます。基本的には、設定して、無防備に開け放ったままにして、データ収集が開始されるのを待つだけです」

しかもデータ収集が開始されるまでに長くはかかりません。Reynoldsによると、無防備なコンピューターをインターネットに接続すると、数分もたたないうちにハッカーたちに気付かれてしまうのです。彼らは標的を定めたら、使用可能な開いたポートからデータを押し込もうとします。そのデータにはすでに何らかの脅威が含まれています。まもなく攻撃を受けたコンピューターは、簡単に「ボット」と化します。ボットとは、インターネット上で自動的に、あるいは繰り返しにタスクを実行するプログラムのことです。その多くは、他のWebサイトの削除、eコマースサイトに対するクリック詐欺への関与、その他のさらに悪質な行為に使用されます。

「この方法で収集し、まとめられたすべてのデータが、最適なセキュリティの構築に実際に役立っています」と、Haleyは付け加えています。

未加工のデータを、有益な知識へ

このように、データの収集は非常に重要ですが、それは最初の一歩にすぎません。得られたデータを有益な知識へと変換させる必要があります。お客様に提供するセキュリティの品質を高めてこそ、意味があるのです。

しかし、シマンテックが集めているほどの膨大なデータ量を収集した場合、それを無駄にしないように、分類して調査するためのしっかりとした計画が必要です。

「収集するデータ量が多すぎて、そのすべてを十分に分析できないという時期もありました」と、Reynoldsは言います。「現在は、セキュリティ問題に対して「ビッグデータ」アプローチを採用しています」

たとえば、シマンテックのセキュリティチームでは、「マシンラーニング」と呼ばれる技術を頻繁に使用します。マシンラーニングとは、大量のデータから人間の目ではわからない共通性を、マシンによって発見するプロセスです。このプロセスの厳密な仕組みは、収集したデータの性質や、質問内容によって異なります。しかし要点としては、データ内のわずかなパターンを検出し、それに基づいて分類(脅威であるかどうかなど)を行うということです。マシンラーニングの技術を適用し、探すべき対象を把握することで、シマンテックのアナリストは最新の脅威をキャッチできるのです。

セキュリティアナリストは、こうした結果を詳しく研究し、すばやくアップデートしてノートンセキュリティの保護テクノロジーに適用します。その努力はすべて、ユーザーのコンピューターに的確に還元するためです。こうしてシマンテックは最新のゼロデイ攻撃にも、新しく発生する脅威にも迅速に対応できるのです。

「犯罪者のグループがブラックマーケットで、人気のあるアプリケーションをターゲットとした、これまで見たこともないような脆弱性に対する攻撃手段を販売しているとよく聞ききます」と、Reynoldsは語っています。「彼らの手口を確認するチャンスをつかんでしまえば、マシンラーニングはその脅威を学習することができます。それを可能にするシグネチャはすでに開発済みです」

規模の問題

では、競合企業がシマンテックに追従しないのはなぜでしょうか。彼らにはインテリジェンスを収集するコンピューター(150 カ国を代表する積極的関与のユーザーベース)と最新の分析技術による、セキュリティテクノロジーベースの世界規模のネットワークを開発することができません。それには理由があります。

これこそがノートンの強みであり、一言でいえば「規模」の問題です。このことについて、製品管理部門の責任者であるHaleyは次のように述べています。「当社は南カリフォルニア、アイルランド、そして日本と、世界各国にあるラボで常時業務を行っています。シマンテックでは、太陽を追いかけて業務を引き継いでいく、フォローザサン(Follow the Sun)モデルを採用しています。世界中のどこかでシマンテックチームが常に活動し、ノートンセキュリティが提供する保護が可能な限り最新の状態を保つよう、積極的に取り組んでいます」このレベルの尽力を続けるには多大なコストがかかります。こうしたR&D業務を支えていくには大量のリソースが必要になるのです。つまり、大規模な顧客ベースと安定した収益ストリームが必要だということです。これはどのインターネットセキュリティ企業でも持てるようなものではありません。

「このことがシマンテックを無二の存在にしており、同時にこれを可能にしているのは当社の規模ならではのものだと考えています。コンシューマ向けと企業向けのどちらのビジネスにおいても、このような巨大な顧客ベースに基づき、これだけの規模を誇る企業はほかに存在しないと確信しています」と、Haleyは分析します。

「確かに、小規模の企業ではとても当社の真似はできません」Reynoldsもまた、この分析に同意しています。「私たちは、競合他社ではとても対抗できない方法で、お客様を保護するためのソリューションをすばやく整備できます」

ノートンチームの成功は、お客様と密接に結び付いています。お客様が収益をもたらし、それによってシマンテックは広範なR&Dのインフラストラクチャに投資できるようになります。お客様から提供される大量の未加工データが、ノートン製品の技術革新を推進させます。実際に、ノートンのお客様はオンラインセキュリティの脅威との戦いにおいて対等のパートナーだとHaleyは語っています。

「当社のR&D活動の中核部にはお客様の存在があります。お客様からは毎日大量のデータが送られてきます。マルウェアの疑いがあるファイルが送られてきた場合には、全力でそれを研究し、お客様がそこから確実に保護されるようにします」

「こうした顧客ベースの存在は、計り知れない強みです。そしてこれはシマンテックのような規模の企業のみが実現可能なことです」